鳳凰網科技訊 3月10日,國家互聯網應急中心發布《關于OpenClaw安全應用的風險提示》指出,近期,AI智能體應用OpenClaw(曾用名Clawdbot、Moltbot)因支持自然語言操控計算機而受到廣泛關注,并獲國內主流云平臺一鍵部署支持。然而,由于該軟件運行需要包括訪問本地文件系統、調用外部API等較高系統權限,加之其默認安全配置薄弱,目前已被曝出存在嚴重安全隱患,攻擊者利用這些缺陷可輕易獲取系統完全控制權。
針對OpenClaw的不當部署與使用,目前已確認四類核心風險。
首先是提示詞注入風險,攻擊者可通過網頁暗藏惡意指令,誘導軟件泄露用戶系統密鑰。
其次為誤操作風險,軟件在錯誤解析用戶意圖時,可能直接徹底刪除電子郵件及核心生產數據。
第三是插件投毒風險,目前已發現多個適用于該應用的惡意擴展程序,安裝后可執行竊取憑證或部署木馬后門等操作,導致設備淪為“肉雞”。
最后是嚴重的安全漏洞風險,該應用已被公開披露多個高中危漏洞,直接威脅個人用戶的支付賬戶、隱私文檔等敏感信息,甚至可能導致金融、能源等關鍵行業發生代碼倉庫泄露或業務系統癱瘓。
鑒于潛在的嚴重損失,安全專家建議相關部署單位與個人采取嚴格的安全防護策略。在網絡配置層面,必須避免將默認管理端口直接暴露于公網,同時利用容器技術隔離運行環境以限制其過高的權限。在憑證管理方面,嚴禁在環境變量中明文存儲密鑰,并需建立完整的操作日志審計機制。
